Exiv2是Andreas Huggel個(gè)人開發(fā)者的一套用于管理圖像元數(shù)據(jù)的C++庫和命令行應(yīng)用程序。該產(chǎn)品提供了讀取和寫入EXIF、IPTC和XMP等多種格式圖像元數(shù)據(jù)的功能。Exiv2 存在安全漏洞，攻擊者可利用該漏洞可能會利用該漏洞來獲得代碼執(zhí)行。

Exiv2是Andreas Huggel個(gè)人開發(fā)者的一套用于管理圖像元數(shù)據(jù)的C++庫和命令行應(yīng)用程序。該產(chǎn)品提供了讀取和寫入EXIF、IPTC和XMP等多種格式圖像元數(shù)據(jù)的功能。Exiv2 存在安全漏洞，攻擊者可利用該漏洞可能會利用該漏洞導(dǎo)致Exiv2崩潰，從而導(dǎo)致拒絕服務(wù)。

Exiv2是Andreas Huggel個(gè)人開發(fā)者的一套用于管理圖像元數(shù)據(jù)的C++庫和命令行應(yīng)用程序。該產(chǎn)品提供了讀取和寫入EXIF、IPTC和XMP等多種格式圖像元數(shù)據(jù)的功能。Exiv2 存在安全漏洞，攻擊者可利用該漏洞可能會利用該漏洞來獲得代碼執(zhí)行。

Exiv2是Andreas Huggel個(gè)人開發(fā)者的一套用于管理圖像元數(shù)據(jù)的C++庫和命令行應(yīng)用程序。該產(chǎn)品提供了讀取和寫入EXIF、IPTC和XMP等多種格式圖像元數(shù)據(jù)的功能。Exiv2 存在安全漏洞，攻擊者可利用該漏洞可能會利用該漏洞導(dǎo)致Exiv2崩潰，從而導(dǎo)致拒絕服務(wù)。

該漏洞與通過 CORS ExposeHeader 標(biāo)簽注入 HTTP 標(biāo)頭有關(guān)。當(dāng)提出 CORS 請求時(shí)，CORS 配置文件中 ExposeHeader 標(biāo)記中的換行符會在響應(yīng)中產(chǎn)生頭注入。此外，之前針對 CVE-2020-10753 的漏洞修復(fù)沒有考慮到使用 \r 作為頭分隔符的情況，因此產(chǎn)生了一個(gè)新漏洞。

在14.2.20之前的版本中發(fā)現(xiàn)了ceph的身份驗(yàn)證缺陷。當(dāng)監(jiān)視器處理CEPHX_GET_AUTH_SESSION_KEY請求時(shí)，它不會清理other_keys，從而允許密鑰重用。可以請求global_id的攻擊者可以利用任何用戶請求先前與另一個(gè)用戶關(guān)聯(lián)的global_id的能力，因?yàn)閏eph不強(qiáng)制重用舊密鑰來生成新密鑰。此漏洞的最大威脅是數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性。

在14.2.20之前的版本中發(fā)現(xiàn)了ceph的身份驗(yàn)證缺陷。當(dāng)監(jiān)視器處理CEPHX_GET_AUTH_SESSION_KEY請求時(shí)，它不會清理other_keys，從而允許密鑰重用。可以請求global_id的攻擊者可以利用任何用戶請求先前與另一個(gè)用戶關(guān)聯(lián)的global_id的能力，因?yàn)閏eph不強(qiáng)制重用舊密鑰來生成新密鑰。此漏洞的最大威脅是數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性。

X.Org X Server是X.Org（X.org）基金會的一款X Window系統(tǒng)顯示服務(wù)器。X.Org Server 存在數(shù)字錯(cuò)誤漏洞，該漏洞允許本地用戶升級系統(tǒng)上的特權(quán)。這是由于XChangeFeedbackControl()函數(shù)內(nèi)的整數(shù)下溢。

GNU C Library（glibc，libc6）是一種按照LGPL許可協(xié)議發(fā)布的開源免費(fèi)的C語言編譯程序。該漏洞源于在處理無效的EUC-KR編碼的多字節(jié)輸入序列時(shí)錯(cuò)誤處理。

OpenSSH（OpenBSD Secure Shell）是Openbsd計(jì)劃組的一套用于安全訪問遠(yuǎn)程計(jì)算機(jī)的連接工具。該工具是SSH協(xié)議的開源實(shí)現(xiàn)，支持對所有的傳輸進(jìn)行加密，可有效阻止竊聽、連接劫持以及其他網(wǎng)絡(luò)級的攻擊。OpenSSH中的ssh代理具有雙重釋放內(nèi)存損壞漏洞，更具體地說是在ssh-agent應(yīng)用程序中。此漏洞使有權(quán)訪問代理套接字的攻擊者可以將代理轉(zhuǎn)發(fā)到與惡意用戶共享的帳戶，也可以轉(zhuǎn)發(fā)給具有根訪問權(quán)限的攻擊者的主機(jī)。此漏洞帶來的最大威脅是機(jī)密性，完整性和系統(tǒng)可用性。

OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。OpenSSL public API 存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于X509_issuer_and_serial_hash函數(shù)不能正確處理解析issuer字段時(shí)可能發(fā)生的任何錯(cuò)誤。

在輸入長度接近平臺上整數(shù)的最大允許長度的某些情況下，對EVP_CipherUpdate、EVP_EncryptUpdate和EVP_DecryptUpdate的調(diào)用可能會使輸出長度參數(shù)溢出。在這種情況下，函數(shù)調(diào)用的返回值將為1（表示成功），但輸出長度值將為負(fù)。這可能會導(dǎo)致應(yīng)用程序行為不正確或崩潰。

OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。 OpenSSL 1.1.1版本和1.0.2版本存在代碼問題漏洞，該漏洞源于空指針解引用和崩潰可能會導(dǎo)致拒絕服務(wù)攻擊。

在輸入長度接近平臺上整數(shù)的最大允許長度的某些情況下，對EVP_CipherUpdate、EVP_EncryptUpdate和EVP_DecryptUpdate的調(diào)用可能會使輸出長度參數(shù)溢出。在這種情況下，函數(shù)調(diào)用的返回值將為1（表示成功），但輸出長度值將為負(fù)。這可能會導(dǎo)致應(yīng)用程序行為不正確或崩潰。

OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。 OpenSSL 1.1.1版本和1.0.2版本存在代碼問題漏洞，該漏洞源于空指針解引用和崩潰可能會導(dǎo)致拒絕服務(wù)攻擊。